入侵中国长达3个月，越南黑客组织欲窃取COVID-19情报

近日，FireEye发布了一份研究报告，报告称：为收集COVID-19（新型冠状病毒肺炎）的相关情报，至少从2020年1月至4月，越南黑客组织APT32针对中国目标开展持续的入侵活动。

据悉，黑客组织将钓鱼信息发送给中国应急管理部和武汉省政府，试图让对方“中招”，从而获取COVID-19的相关情报。

这次长达至少3个月的入侵活动，让越南黑客组织APT32再次进入人们的视野。

APT32的真面目

2017年，FireEye发布博客文章，揭露了黑客组织APT32的相关信息。博客文章称“至少从2014年以来，黑客组织APT32专门以在越南制造业、消费品和酒店行业有既得利益的外国企业为攻击目标。并且，有迹象表明APT32正在瞄准周边的网络安全和技术基础设施公司。”

2015年5月底，360APT团队在技术博客文章《数字海洋的游猎者》中揭开了APT32的真面目。

博客文章披露：2012年4月起至今，某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。

该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播特种木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。

鱼叉攻击：与普通的邮件钓鱼攻击不同，鱼叉攻击是一种较为高级的网络钓鱼攻击手法。它是一种借助构造特定主题和内容的邮件及带有恶意程序的附件，以吸引特定目标下载并打开附件的邮件钓鱼攻击行为。 水坑（Watering Hole）攻击：攻击者首先通过侦察追踪，确定特定攻击目标经常访问或信任的网站，利用网站的弱点在其中植入攻击代码，使被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息，以达到入侵目标组织的目的。

根据APT32的某些攻击特点，360APT团队将其命名为OceanLotus，即海莲花。

据悉，海莲花发动的APT攻击，攻击周期长达3年之久，攻击地域遍布国内29个省级行政区和境外的36个国家，被黑网站多达十几个。并且，博客文章还进一步揭示：在这3年多的时间里，海莲花先后使用至少4种不同程序形态、不同编码风格和不同攻击原理的木马程序，恶意服务器遍布全球13个国家，注册的已知域名多达35个。

基于时间响应调查、产品检测和情报观察以及相关运营商的其他出版物，FireEye评估APT32是与越南政府利益相一致的网络间谍组织。

COVID-19期间，APT32针对中国的持续入侵

据FireEye披露，在COVID-19发生后，APT32针对中国的第一起入侵事件发生于2020年1月6日。通过利用lijianxiang1870@163[.]com的发件人地址和第一期办公设备招标结果报告的邮件主题，APT32向中国应急管理部发送了带嵌入式跟踪链接的电子邮件。

如果受害者打开恶意链接，那么其电子邮件地址和代码将被发送给攻击者。如下图：

发送给中国应急管理部的钓鱼邮件

此外，FireEye旗下的Mandiant威胁情报还发现以中国武汉省政府为目标的另外的跟踪URLs，如下所示：

• libjs.inquirerjs[.]com/script/@wuhan.gov.cn.png
• libjs.inquirerjs[.]com/script/@chinasafety.gov.cn.png
• m.topiccore[.]com/script/@chinasafety.gov.cn.png
• m.topiccore[.]com/script/@wuhan.gov.cn.png
• libjs.inquirerjs[.]com/script/@126.com.png

据悉，libjs.inquirerjs[.]com域名去年12月被当作受控域名，用来发起METALJACK 钓鱼活动，而攻击者的潜在目标就是东南亚国家。

FireEye表示，APT32针对中国的目标可能使用了以COVID-19为主题的恶意附件。报告指出，“虽然没有发现完整的执行链，但是我们发现一个METALJACK加载器。它在启动有效载荷时会显示一个COVID-19为标题的中文诱饵文档。”

当METALJACK加载krpt.dll程序时，可能调用导出“_force_link_krpt”。加载程序会先执行一个COVID为主题的RTF文件（嵌入的资源之一），然后向受害者显示内容并将文档保存到％TEMP％。

下面是诱饵文档，其标题是“冠状病毒实时更新：中国正在追踪来自湖北的旅行者”，它向受害者展示模仿自《纽约时报》的文章。

据了解，该恶意软件还会在额外资源MD5（a4808a329b071a1a37b8d03b1305b0cb）中加载shellcode，其中包含METALJACK有效载荷。Shellcode通过执行系统调查收集受害者的计算机名和用户名，然后使用libjs.inquirerjs [.] com将这些值附加到URL字符串，再尝试调出URL。如果调用成功，恶意软件就会将METALJACK有效载荷加载到内存中。最后，攻击者使用vitlescaux[.]com进行命令和控制。

不过，在APT的活动归因上，越南外交部发言人吴全胜在4月23日否认相关指控，表示“越南禁止一切形式的网络攻击，这类行动应当予以谴责，并严格依法处理。”

FireEye总结道，针对中国的入侵事件和其他公开报道的攻击活动，只是全球不断增加且与COVID-19危机相关的网络间谍活动一部分，“处于绝望中的国家试图寻找相应的解决方案和非公开信息”。

COVID-19相关的攻击增长300倍

自新型冠状病毒肺炎发生以来，网络攻击活动不断增加，而APT32入侵中国只是众多攻击活动之一。

此前，谷歌宣布每天阻止1800万针对Gmail用户的以COVID-19为主题的恶意电子邮件。

近日，网络安全公司Zscaler的研究者发现，与2020年初相比，3月份COVID-19为主题的攻击活动增长30000%。

Zscaler在博客中写道，“一月份，我们看到（和阻止）了1200起攻击，而三月份，我们观察到380000起。从一月以来，钓鱼、恶意网站和以远程用户为目标的恶意活动增长30000%。”

具体而言，一月份，该公司观察到1200起攻击活动；二月份，攻击活动上升至10000起；三月份，则有高达380000起攻击活动。同时，针对远程企业用户的钓鱼活动增长85%，恶意网站增长25%，以企业用户为目标的威胁则增长17%。

针对上述攻击活动， Zscaler给出了一些建议：

• 从官方媒体或正规渠道获取COVID-19的相关信息；
• 不要打开未知来源的陌生链接或附件；
• 确保使用双因素认证（2FA）；
• 及时给操作系统打补丁和进行安全更新；
• 针对任何财务交易请先激活SMS/email通知；
• 提防基于email的紧急资金请求